Bulletin d'alerte Debian
DSA-1185-2 openssl -- Déni de service
- Date du rapport :
- 28 septembre 2006
- Paquets concernés :
- openssl
- Vulnérabilité :
- Oui
- Références dans la base de données de sécurité :
- Dans le dictionnaire CVE du Mitre : CVE-2006-2940, CVE-2006-3738, CVE-2006-4343, CVE-2006-2937.
- Plus de précisions :
-
La modification utilisée pour corriger CVE-2006-2940 a introduit du code qui pourrait conduire à l'utilisation de mémoire non initialisée. Une telle utilisation risque de faire planter l'application utilisant la bibliothèque openssl, et de permettre à un attaquant de causer l'exécution de code arbitraire. Pour référence, veuillez trouver ci-dessous le texte de l'annonce initiale :
Plusieurs vulnérabilités ont été découvertes dans le paquet du logiciel de chiffrement OpenSSL, cela peut permettre à un attaquant de lancer une attaque par déni de service en épuisant les ressources du système ou en plantant des processus sur l'ordinateur de la victime.
- CVE-2006-2937
Dr S N Henson de l'équipe principale OpenSSL et l'Open Network Security ont récemment développé un ensemble de tests ASN1 pour NISCC (www.niscc.gov.uk). Lorsqu'ils ont été lancés sur OpenSSL deux vulnérabilités de déni de service ont été découvertes.
Pendant l'analyse de certaines structures ASN1 invalides, une condition d'erreur est mal gérée. Cela peut conduire à une boucle sans fin ce qui consomme la mémoire du système.
Tout code qui utilise OpenSSL pour analyser des données ASN1 ne provenant pas de sources de confiance est affecté. Cela comprend les serveurs SSL qui permettent l'authentification des clients et les applications S/MIME.
- CVE-2006-3738
Tavis Ormandy et Will Drewry de l'équipe de sécurité de Google ont découvert un dépassement de mémoire tampon dans la fonction utilitaire SSL_get_shared_ciphers utilisée par certaines applications comme exim et mysql. Un attaquant peut envoyer une liste de chiffres qui peuvent saturer une mémoire tampon.
- CVE-2006-4343
Tavis Ormandy et Will Drewry de l'équipe de sécurité de Google ont découvert un possible déni de service dans le code du client sslv2. Lorsque une application cliente utilise OpenSSL pour réaliser une connexion SSLv2 vers un serveur malveillant, ce serveur peut causer le plantage du client.
- CVE-2006-2940
Dr S N Henson de l'équipe principale OpenSSL et le Open Network Security ont récemment développé un ensemble de tests ASN1 pour NISCC (www.niscc.gov.uk). Lorsqu'ils ont été lancés sur OpenSSL un déni de service a été découvert.
Certains types de clefs publiques peuvent utiliser des quantités disproportionnées de temps pour être traitées. Cela peut être utilisé par un attaquant lors d'une attaque par déni de service.
Pour la distribution stable (Sarge), ces problèmes ont été corrigés dans la version 0.9.7e-3sarge4.
Pour les distributions instable et de test (Sid et Etch respectivement), ces problèmes seront corrigés dans la version 0.9.7k-3 des bibliothèques de compatibilité openssl097, et la version 0.9.8c-3du paquet openssl.
Nous vous recommandons de mettre à jour vos paquets openssl. Veuillez noter que les services liés aux bibliothèques partagées openssl devront être redémarrés. Ces services comprennent par exemple la plupart des agents de transport de courriels, les serveurs SSH et les serveurs web.
- CVE-2006-2937
- Corrigé dans :
-
Debian GNU/Linux 3.1 (sarge)
- Source :
- http://security.debian.org/pool/updates/main/o/openssl/openssl_0.9.7e-3sarge4.dsc
- http://security.debian.org/pool/updates/main/o/openssl/openssl_0.9.7e-3sarge4.diff.gz
- http://security.debian.org/pool/updates/main/o/openssl/openssl_0.9.7e.orig.tar.gz
- http://security.debian.org/pool/updates/main/o/openssl/openssl_0.9.7e-3sarge4.diff.gz
- Alpha:
- http://security.debian.org/pool/updates/main/o/openssl/libssl-dev_0.9.7e-3sarge4_alpha.deb
- http://security.debian.org/pool/updates/main/o/openssl/libssl0.9.7_0.9.7e-3sarge4_alpha.deb
- http://security.debian.org/pool/updates/main/o/openssl/openssl_0.9.7e-3sarge4_alpha.deb
- http://security.debian.org/pool/updates/main/o/openssl/libssl0.9.7_0.9.7e-3sarge4_alpha.deb
- AMD64:
- http://security.debian.org/pool/updates/main/o/openssl/libssl-dev_0.9.7e-3sarge4_amd64.deb
- http://security.debian.org/pool/updates/main/o/openssl/libssl0.9.7_0.9.7e-3sarge4_amd64.deb
- http://security.debian.org/pool/updates/main/o/openssl/openssl_0.9.7e-3sarge4_amd64.deb
- http://security.debian.org/pool/updates/main/o/openssl/libssl0.9.7_0.9.7e-3sarge4_amd64.deb
- ARM:
- http://security.debian.org/pool/updates/main/o/openssl/libssl-dev_0.9.7e-3sarge4_arm.deb
- http://security.debian.org/pool/updates/main/o/openssl/libssl0.9.7_0.9.7e-3sarge4_arm.deb
- http://security.debian.org/pool/updates/main/o/openssl/openssl_0.9.7e-3sarge4_arm.deb
- http://security.debian.org/pool/updates/main/o/openssl/libssl0.9.7_0.9.7e-3sarge4_arm.deb
- HPPA:
- http://security.debian.org/pool/updates/main/o/openssl/libssl-dev_0.9.7e-3sarge4_hppa.deb
- http://security.debian.org/pool/updates/main/o/openssl/libssl0.9.7_0.9.7e-3sarge4_hppa.deb
- http://security.debian.org/pool/updates/main/o/openssl/openssl_0.9.7e-3sarge4_hppa.deb
- http://security.debian.org/pool/updates/main/o/openssl/libssl0.9.7_0.9.7e-3sarge4_hppa.deb
- Intel IA-32:
- http://security.debian.org/pool/updates/main/o/openssl/libssl-dev_0.9.7e-3sarge4_i386.deb
- http://security.debian.org/pool/updates/main/o/openssl/libssl0.9.7_0.9.7e-3sarge4_i386.deb
- http://security.debian.org/pool/updates/main/o/openssl/openssl_0.9.7e-3sarge4_i386.deb
- http://security.debian.org/pool/updates/main/o/openssl/libssl0.9.7_0.9.7e-3sarge4_i386.deb
- Intel IA-64:
- http://security.debian.org/pool/updates/main/o/openssl/libssl-dev_0.9.7e-3sarge4_ia64.deb
- http://security.debian.org/pool/updates/main/o/openssl/libssl0.9.7_0.9.7e-3sarge4_ia64.deb
- http://security.debian.org/pool/updates/main/o/openssl/openssl_0.9.7e-3sarge4_ia64.deb
- http://security.debian.org/pool/updates/main/o/openssl/libssl0.9.7_0.9.7e-3sarge4_ia64.deb
- Motorola 680x0:
- http://security.debian.org/pool/updates/main/o/openssl/libssl-dev_0.9.7e-3sarge4_m68k.deb
- http://security.debian.org/pool/updates/main/o/openssl/libssl0.9.7_0.9.7e-3sarge4_m68k.deb
- http://security.debian.org/pool/updates/main/o/openssl/openssl_0.9.7e-3sarge4_m68k.deb
- http://security.debian.org/pool/updates/main/o/openssl/libssl0.9.7_0.9.7e-3sarge4_m68k.deb
- Big endian MIPS:
- http://security.debian.org/pool/updates/main/o/openssl/libssl-dev_0.9.7e-3sarge4_mips.deb
- http://security.debian.org/pool/updates/main/o/openssl/libssl0.9.7_0.9.7e-3sarge4_mips.deb
- http://security.debian.org/pool/updates/main/o/openssl/openssl_0.9.7e-3sarge4_mips.deb
- http://security.debian.org/pool/updates/main/o/openssl/libssl0.9.7_0.9.7e-3sarge4_mips.deb
- Little endian MIPS:
- http://security.debian.org/pool/updates/main/o/openssl/libssl-dev_0.9.7e-3sarge4_mipsel.deb
- http://security.debian.org/pool/updates/main/o/openssl/libssl0.9.7_0.9.7e-3sarge4_mipsel.deb
- http://security.debian.org/pool/updates/main/o/openssl/openssl_0.9.7e-3sarge4_mipsel.deb
- http://security.debian.org/pool/updates/main/o/openssl/libssl0.9.7_0.9.7e-3sarge4_mipsel.deb
- PowerPC:
- http://security.debian.org/pool/updates/main/o/openssl/libssl-dev_0.9.7e-3sarge4_powerpc.deb
- http://security.debian.org/pool/updates/main/o/openssl/libssl0.9.7_0.9.7e-3sarge4_powerpc.deb
- http://security.debian.org/pool/updates/main/o/openssl/openssl_0.9.7e-3sarge4_powerpc.deb
- http://security.debian.org/pool/updates/main/o/openssl/libssl0.9.7_0.9.7e-3sarge4_powerpc.deb
- IBM S/390:
- http://security.debian.org/pool/updates/main/o/openssl/libssl-dev_0.9.7e-3sarge4_s390.deb
- http://security.debian.org/pool/updates/main/o/openssl/libssl0.9.7_0.9.7e-3sarge4_s390.deb
- http://security.debian.org/pool/updates/main/o/openssl/openssl_0.9.7e-3sarge4_s390.deb
- http://security.debian.org/pool/updates/main/o/openssl/libssl0.9.7_0.9.7e-3sarge4_s390.deb
- Sun Sparc:
- http://security.debian.org/pool/updates/main/o/openssl/libssl-dev_0.9.7e-3sarge4_sparc.deb
- http://security.debian.org/pool/updates/main/o/openssl/libssl0.9.7_0.9.7e-3sarge4_sparc.deb
- http://security.debian.org/pool/updates/main/o/openssl/openssl_0.9.7e-3sarge4_sparc.deb
- http://security.debian.org/pool/updates/main/o/openssl/libssl0.9.7_0.9.7e-3sarge4_sparc.deb
Les sommes MD5 des fichiers indiqués sont disponibles sur la page originale de l'alerte de sécurité.
Les sommes MD5 des fichiers indiqués sont disponibles dans la nouvelle annonce de sécurité.